::: 網路釣魚騙術之解析與防治 ◎ 吳文進 一、前言 現今網路上充斥著各類犯罪的活動,一般家庭用戶、企業組織或政府部門,無不深受這些病毒或惡意程式所困擾。為何網路應用會有今日的樣態,雖已被廣泛地討論,並且勢將持續地被討論下去,但當我說網路上充斥犯罪時,我們所指的是什麼?說穿了,就是那些攻擊工具已經被有心人士用為生財的利器,這些網路釣客的標的包括竊取個人或企業的銀行帳號資料、信用卡號、以DDoS攻擊勒索付費、建立木馬代理伺服器發送垃圾郵件、建立殭屍網路以從事滲透破壞等行為。在上述各種不同的惡意行為中,網路釣魚的騙術是最常被這些有心人士運用的技巧。最典型的網路釣魚攻擊手法是將收信人引誘到一個經過精心設計且與其目標網站非常相似的釣魚網站上,巧立名目要求收信者輸入個人敏感資訊,再伺機竊蒐重要或機敏資訊。 網路釣魚的行徑,不論是對個人、企業組織,乃至於整個社會,均產生重大的影響。就個人而言,當身分證、信用卡、銀行帳戶及網路銀行密碼等資料外洩,即成為遭「盜用身分」的高危險群;而以企業組織觀點視之,商(信)譽是一切的基石,尤其當前企業e化的程度已普遍提升,電腦網路也成為不可或缺的工作平台,一般的企業員工或個人對這些釣魚詐騙行動,或可置之不理,但企業卻不容置身事外,因為網路釣魚對企業組織所產生的風險,即使僅僅是網頁遭偽冒,也必須緊急應處,否則企業商譽與辛苦建立的形象,將可能毀於一旦。 二、何謂網路釣魚? 那到底什麼是網路釣魚呢?網路釣魚(Phishing)的起源可溯至1970年代的飛客(phreak)入侵,這種利用簡單的兒童玩具加以改裝的手法,可使玩具哨子發出2,600Hz的音頻,而藉此可盜打當時的電話系統。網路釣魚則是延續了電話飛客的手法,同樣都是為獲取實質利益而將專業技術用於不正當的用途。因此駭客們為了紀念這些「phreak」的前輩,所以利用「phreak(飛客)」和「fishing(釣魚)」的結合,所以發音相同的"Ph"來取代"F",而成為「Phishing」。 至於網路釣魚有哪些特性?慣用手法為何?以下簡要說明之。Phishing常用的手法,包括:偽冒與您有業務往來的公司發出假造的電子郵件,表示驗證您的帳號資訊,否則將暫時停權;結合拍賣詐騙和假造的中間網站,誘使您付款給假中間網站;假冒慈善團體要求您捐款;假造網站或入侵合法網站預置木馬並誘使您瀏覽這些網站,而惡意程式或木馬則伺機植入您的電腦……等等。依據防毒廠商卡巴斯基(kaspersky)的預測,2007年下半年網路釣魚與垃圾郵件將更緊密地結合,使得網釣郵件難以追蹤,因為垃圾郵件是利用SMTP與Internet通訊協定中既有的漏洞,而這些漏洞的存在,使得郵件來源的追蹤幾乎成為不可能的任務。此外,無論這些協定設計得如何完善,只要在郵件上加上適切的社交工程(Social Engineering),任何郵件都可以合法掩護非法地使用通訊埠(PORT)25而侵入目標對象;反觀要修正現有通訊協定的瑕疵,對整個網際空間而言,不僅工程浩大,且效果亦屬有限。因此駭客就可利用這些漏洞,肆無忌憚地散發垃圾電子郵件,或透過電子郵件大量散播惡意程式。 三、網路釣魚的新趨勢 然而近期網路釣魚的手法已日漸翻新,且充滿驚奇或創意。依資訊安全與控制廠商Sophos於2007年5月所公布最新的十大網路與電子郵件惡意威脅報告顯示,網頁含惡意程式已成為新興的網路釣魚方式。統計5月份平均每天約發現9,500個隱含惡意程式的網頁,與4月份每天平均約1,000個相比,成長的幅度著實驚人。而該報告中亦指出,各種網頁隱藏惡意連結中,以「Iframe」的65.5%佔第一位。所謂「Iframe」就是有心人士刻意將惡意程式製作成網頁框架,透過電子郵件或其他方式散播以操縱合法網頁。這種隱藏惡意程式的網頁,幾乎佔所有網路威脅的三分之二。為什麼這些隱含惡意程式的網頁會帶來風險呢?因為很多木馬程式和病毒是被特別設計成網頁檔,一旦組織內的網頁伺服器受到感染,就可能影響數百、甚至數千個網頁檔案,而這些網頁檔案可能來自10個或上百個不同網站,可能透過同一台網路伺服器展示、連結和維護,因此當任何一位網路管理人員不小心在網頁伺服器上執行任一個受感染的程式後,則任何與該伺服器連結或瀏覽網頁者,就有可能被植入木馬或惡意程式,進而導致檔案遭竊。 此外,網路釣魚的手法越來越精緻,從早期錯字連篇到當前的真偽難辯,特別是獲利豐厚的驅使,結合駭客工具的網路釣魚已成為當前的主要資安威脅,且其研發也由個人興趣走向組織犯罪。因此不論是企業組織或個人,都應該了解網路釣魚可能帶來的風險,及早預防與應變。尤當這些有心人士已逐漸掌握「精準攻擊」的要領後,釣魚郵件已能精確地鎖定特定目標族群,精心設計郵件內容且只傳送特定人士,是以被害者上率大幅提升。依據「趨勢科技反釣魚工作小組」的歸納,網路釣魚技術的新趨勢包括以下5種,一般的網路使用者尤應提高警覺: 1. 更正式:採用商務文書的書寫格式且詐騙者的文筆愈來愈好。 2. 更真實:大量使用圖片與其他能讓郵件顯得更真實的元件,包括使用銀行的標誌、名稱、版權與「註冊商標」等符號,連最微小的細節也不遺漏。 3. 更準確:更精確地鎖定目標,只傳送給真正應該接收該郵件的客戶。 4. 更專業:犯罪集團已經組織化,且利用有效率、系統化的方法來蒐集、核對,及運用竊取的資訊,以換取更大的利益。 5. 更虛偽:利用偽裝故意加上針對網路釣魚攻擊所發出的警告。 四、網路釣魚常用手法 網路釣魚最常運用的管道有三,包括「電子郵件」、「假網頁」與「即時通訊軟體」等,目前多已結合各種形式綜合運用,以下介紹幾種常見的手法: 1. 假造網站:如網路釣客在網址上以數字0取代英文字O、以數字1取代英文字I;或者在電子郵件中顯示正確的網站連結,卻私底下連結至私人網站主機;或謊稱升級客戶服務、更新帳戶資料等,藉以騙取受害者帳戶密碼及相關隱私資料。然後網路釣客再至真實之網站竊取客戶的錢財,或者從事大筆消費,讓受害者蒙受巨大損失。 2. 網頁隱含惡意程式:在網頁中安插惡意程式,如木馬、間諜軟體等。利用受害者瀏覽時安裝、潛伏在用戶的電腦中,伺機遠端操控電腦及取得所需資料。當使用者的瀏覽器被安裝不安全元件後,往後只要開啟瀏覽器,就會被帶到預設的惡意網站;此外,部分網站會提供某些小程式,宣稱可加速上網、強化系統、免費觀看色情網站等,網友若受引誘而執行了這些程式,瀏覽器或windows系統登錄檔都會被植入綁架程式,導致瀏覽器無法正確連結,或嫁接至釣魚網站,使用者資料將因此遭竊。 3. 網頁置換:利用JavaScript的技術,置換靜態的URL網址,讓偽造網站的網址列與官方相同,難以辨認真假。當使用者失去戒心並輸入資料時,相關資訊即遭竊取。 4. 網址嫁接:近來網路釣客又衍生出一種更高明的手法——網址嫁接(Pharming)。這是透過向「DNS快取記憶體下毒」(DNS Cache Poisoning)的方式,向其他DNS伺服器提供合法網域名稱的錯誤IP位址,也就是透過DNS更新的時機,直接竊取網站名稱來使用,這時就算用戶自己開啟瀏覽器輸入正確的網址,一樣是被引導至釣魚網站。 5. 假造URL位址列:有關假造URL位址列,目前已發展出多種偽裝的手法,包括關閉正常的URL位址列,再利用文字與圖形造出一個假的位址列,或者在網頁存取之後貼上假造網址;另一種方法則是在網頁的網址列之上,用一個位於上層的浮動視窗,將假冒的網址覆蓋住,再填上官方網址,使用者一不小心就是受騙。 6. 假造浮動視窗:雖然透過連結進入官方網頁,但有時會跳出一個視窗要求輸入帳號等資訊,而這個視窗通常看不到網址列。這可能也是釣魚手法之一,目的在引誘受害者進入假造的網頁,再由這個網頁一邊連結到正版網頁,一邊產生假造的資料蒐集畫面。 7. 寄發仿冒信:利用拍賣網站,搶在拍賣交易結標後,以偽冒之電子郵件(截標信)詐騙買方匯款;或以偽冒電子郵件通知會員修改密碼,進而竊取會員資料;或利用垃圾郵件誇大之形容詞,誘使點選郵件中附加之超連結,或者取消訂閱按鈕,進而植入惡意程式。 8. 即時通訊:利用即時通訊軟體,偽冒使用者送出具惡意程式的網址,誘使好奇的使用者點選,進而植入木馬程式。 9. 討論區或部落格:在討討論區或部落格留下具有惡意程式的超連結,輔以聳動或誘人的字語,引誘好奇的使用者點擊連結,木馬就可輕鬆植入。 五、如何避免被釣? 網路陷阱多,一般的使用者應如何明哲保身呢?相信藉由前面所介紹的釣魚手法應可窺知一二,以下彙整了「防釣12招」: 1. 不要急著立即回應:接到詢問帳戶相關資訊的郵件時,請提高警覺。請記得,網路釣魚郵件的設計是為了讓收件者氣惱、疑惑或激動,以誘使他們立即作出回應。 2. 檢查真假網頁的兩個小動作:送出信用卡號碼這類敏感資訊時,請確定造訪的任何網站是否安全。分辨網址是否安全的一項指標是網址開頭必須是 https://,而不是http://。另一項指標則是螢幕右下角的小鎖圖示,只要按一下這個圖示就會顯示安全憑證。 3. 不要直接按下郵件連結:若電子郵件有偽造的嫌疑,請勿按下郵件中的任何連結,直接在瀏覽器的網址列輸入真正的公司網址,直接進入真正的公司網站,然後從此處登入。您也可以直接用電話連絡該公司。之前曾被當成攻擊目標的公司都會公布網路釣魚相關事件的聯絡資訊。 4. 避免開啟可疑附件檔:避免開啟可疑網路釣魚郵件中的任何附件檔,因為這些檔案可能執行惡意程式,竊取您的個人資訊。 5. 常至網路安全組織網站瀏覽:養成習慣瀏覽Internet上最近有關網路釣魚的新聞與資訊,如趨勢科技會定期更新以下這個提供網路釣魚相關資訊的網頁。而當您使用Google搜尋找資料時,可能會發現部份網站出現"這個網站可能會傷害您的電腦"的訊息,如果你忽略搜尋結果中的警告點擊進去,Google還會再度警告你,這對使用這來說這是相當貼心的功能。遇此類的網站,使用者就要特別小心謹慎。 6. 勤於修補系統或瀏覽器漏洞:確定您的瀏覽器已更新至最新版本,並立即安裝最新的安全修正程式。為了防止網路釣魚攻擊,防毒軟體及瀏覽器皆推出新的版本,且強調具防止網路釣魚的功能。透過軟體的警示,可以讓使用者提高警覺,避免落入陷阱。 7. 安裝具防止網路釣魚的防毒軟體:因為防毒軟體廠商會透過黑白名單、網址與網頁分析及行為模式安全防護等技術,增強對網路釣魚攻擊的防護措施;另除安裝新版瀏覽器之外,也可在瀏覽器安裝工具列來防止網路釣魚攻擊,如微軟提供的Windows Live Toolbar與MSN Phishing Filter等工具。在使用者可能進入一個會竊取個人資訊的網站前加以阻撓與警告,使用者在進入疑似釣魚網站之前,也會看到警告訊息。 8. 安裝其他安全防護軟體,避免網路釣魚與間諜軟體聯手:網路釣魚攻擊可能會與各種惡意程式及間諜程式連結,以達到散播與執行的目的。因此,安裝個人安全防護軟體,不僅可防範網路釣魚攻擊,同時也能防範惡意程式與駭客入侵,但記得也要定期更新安全軟體。 9. 善用封鎖程式:針對網頁隱含惡意程式,破解方法除使用防毒軟體、防木馬、防間諜程式掃描外,亦應使用防間諜軟體與網頁快顯封鎖程式,防止於瀏覽網頁時被安插惡意程式。 10. 比對網址:對假造URL位址列,可以按下滑鼠右鍵查看網頁內容以初步判定網址是否一致,但是也要小心按下右鍵所跳出來的功能表(pop-up)是真的還是假的;另針對使用浮動視窗將假冒的網址覆蓋住這種手法,可以按下右鍵看內容,會出現一個視窗,將此視窗拖曳到網址列上方,若對方使用此方式遮蔽網址列,則假造的網址會浮在這個視窗上面,而一般正常的頁面則不會有此現象。因此藉由按下右鍵觀看該對話視窗的網址即可加以破解,尤其遇到要求輸入資料時應再三確認。 11. 檢舉可疑信件與網站:趨勢科技或其他防網釣團體鼓勵大家通報網路釣魚事件,以便蒐集更完整的樣本。因此遇可疑的網路釣魚事件,可善用此一機制實施通報,多一分關心,則可減少被釣數據的成長。 12. 教育宣導不可少:比照政府在對抗詐騙手法之宣導作法,對單位內部成員提供技術上破解之道和預防被釣的注意事項,並應把握「多方查證、勿貪便宜與受害通報」等三個原則,有效杜絕網釣事件的發生。 六、結論 科技衍生的騙術還需以科技的方法解決。所謂的網路釣魚騙術,其本質就是利用人性的弱點,以社交工程來行詐騙之實,方法千奇百怪,且防不勝防。因此要有效防制,除應明訂資安政策,最重要的是如何提升使用者的資安認知與意識,發揮「上網在不疑處有疑」的精神,將「天下沒有白吃的午餐」奉為上網的最高圭臬,應可有效防止遭網路詐騙。但最後應切記!許多網友疏忽的「偶然因素」,常常成為駭客入侵的「必然結果」。因此當您下次上網以滑鼠點擊時,務必「三思而後行」。(作者任職國防醫學院) ps. 以上資料網路搜尋字:http://www.tcfd.gov.tw/02mid/07trouble/97/trouble_97-02-12-07.htm 回 · 網際網路安全問題 這一篇文章封面 |
本站公告:〔您越需要我們,我們就越有創意〕 | 本站說明書:〔發現故鄉還有改進的地方,請來信告訴原丁們〕 |
觀察應用學習點數 :〔咱的故鄉有您的參與,會使我們有更大的發揮空間,展現更豐富精彩的學習畫面〕 | 〔期待藉由無障礙網頁設計,能讓視障小朋友更愛看書、更愛寫作且更愛學習〕:盲用電腦「心得分享」 |